使用ntop做流量监控

4tfr

先来安装ntop，ntop需要使用一个web服务器，所以我在这里使用的apache，一起安装了吧命令如下

jonsk:~# apt-get install ntop apache
需要安装22个包
apache、apache-common 、apache2-utils、libapr1、libaprutil1 、libexpat1、libfreetype6 、libgd2-noxpm 、libglib1.2 、libjpeg62 、libkrb53 、libmagic1 、libpcap0.7、libpcre3 、libpng12-0 、libpq4 、libsqlite3-0 、lynx 、mime-support 、ntop 、perl、perl-modules

debian的包管理还是不是很理想，到连lynx都装上了，明明用不到嘛。

设置ntop的管理密码
jonsk:~# ntop --set-admin-password
Mon Jul 30 23:59:52 2007 NOTE: Interface merge enabled by default
Mon Jul 30 23:59:52 2007 Initializing gdbm databases
ntop startup - waiting for user response!
Please enter the password for the admin user:在这里输入admin的密码
Please enter the password again:再次输入
Mon Jul 30 23:59:58 2007 Admin user password has been set
jonsk:~# /etc/init.d/ntop start 启动ntop服务
OK，现在打开你的浏览器输入你的IP地址加端口号3000就可以查看你的网络流量了例：
http://127.0.0.1:3000
http://一定要指定http的头，要不然浏览器不知道使用使用协议来连接
ntop默认监听端口号是3000。

现在有空顺便再来说一下ntop的常用参数
-d : 放入后台执行。 常用
-L : 输出讯息写入系统记录文件。
-r : 设定页面的自动更新频率,预设每 3 秒更新一次. 。
-w : 使用其它端口 (预设是 3000) 。
-W : 同 -w , 不过这个是使用 SSL 联机 。
-u : 指定使用其它身份执行 。
-i : 指定 ntop 监听的网卡,"," 隔开多个网卡。
-M : 使用 -i 指定多张网卡时, 预设是合并统计.
ntop的页面说明
o About: 在线手册。
o Summary : 目前网络的整体概况

• Traffic : 流量
• Hosts : 所有主机使用概况
• Network Load : 各时段的网络负载
• Netflows : 网络流量图。
  

o IP Summary : 各主机的流量状况与排名明细

• Traffic : 所有主机的流量明细
• Multicast : 多点传送情况。
• Domain : 域名
• Distribution : 通讯量状况
• Local >>Local 本地流量。
• Local>>Remote : 所有主机对外的明细
• Remote>>Local :
• Remote>>Remote :
  

o All Protocols : 查看各主机占用的频宽与各时段网络使用者等的明细

• Traffic : 流量。
• Throughput : 频宽使用明细表 (点选主机,可以看到该主机详细的信息及使用状况)
• Activity : 各时段所有主机使用流量(状况). (点选主机,可以看到该主机详细的信息及使用状况)
  

o Local IP : 局域网络内各主机使用状况.

• Routers : 路由器状况。3.2版的ntop中已经好像没有这一项了
• Ports Used : 端口使用情况。
• Active TCP Sessions : 目前正在进行的联机 。
• Host Fingerprint : 主机快照情况。
• Host Characterization : 主机描述。
• Local Matrix : 局域网络内各主机间的流量明细。
  

o Media: 高级货，一般人用不到的东西

• Fibre Channel 光纤通道，企业级存储时使用的东西
  

o Utils 日志一类的东西

oPlugins 一些插件


ICMPWATCH：用于端口检测很多人都已经知道了可以借助NETSTAT -AN来查看当前的连接与开放的端口，但NETSTAT并不万能，比如你的Win2000遭到OOB攻击的时候，不等NETSTAT你就已经死机了。为此，出现了一种特殊的小工具——端口监听程序。端口监听并不是一项复杂的技术，但却能解决一些局部问题。
NetFlow：近年来，很多服务提供商一直使用NetFlow。因为 NetFlow在大型广域网环境里具有伸缩能力，可以帮助支持对等点上的最佳传输流，同时可以用来进行建立在单项服务基础之上的基础设施最优化评估，解决服务和安全问题方面所表现出来的价值，为服务计费提供基础。NetFlow是一种数据交换方式，其工作原理是：NetFlow利用标准的交换模式处理数据流的第一个IP包数据，生成NetFlow 缓存，随后同样的数据基于缓存信息在同一个数据流中进行传输，不再匹配相关的访问控制等策略，NetFlow缓存同时包含了随后数据流的统计信息。但是， NetFlow也不是万能的，比如它无法提供应用反应时间。
rrdPlugin：用于生成流量图。RRD的作者，也是MRTG的作者，RRD可以简单的说是MRTG的升级版，它比MRTG更灵活，更适合用shell、perl等程序来调用，成生所要的图片。
sFlow：sFlow（RFC 3176）是基于标准的最新网络导出协议，能够解决当前网络管理人员面临的很多问题。sFlow已经成为一项线速运行的“永远在线”技术，可以将 sFlow技术嵌入到网络路由器和交换机ASIC芯片中。与使用镜像端口、探针和旁路监测技术的传统网络监视解决方案相比，sFlow能够明显地降低实施费用，同时可以使面向每一个端口的全企业网络监视解决方案成为可能。与数据包采样技术（如RMON）不同，sFlow是一种导出格式，它增加了关于被监视数据包的更多信息，并使用嵌入到网络设备中的sFlow代理转发被采样数据包，因此在功能和性能上都超越了当前使用的RMON、RMON II和NetFlow技术。sFlow技术独特之处在于它能够在整个网络中，以连续实时的方式监视每一个端口，但不需要镜像监视端口，对整个网络性能的影响也非常小。

snmpPlugin:这个大家都知道，就不说是

最后说一下，ntop确实很消耗资源，建议找专门找台闲置的PC做这个，而且主机放置的位置最好是在路由器边上，如果是交换机上，哪么最好将交换机出口做一个端口镜象，将镜象的端口用来连接ntop

附上ntop的运行后的服务情况

jonsk:/# vmstat 2
procs -----------memory---------- ---swap-- -----io---- -system-- ----cpu----
r b swpd free buff cache si so bi bo in cs us sy id wa
0 0 0 37164 15184 24732 0 0 7 9 255 16 0 2 98 0
0 0 0 37164 15184 24740 0 0 0 0 238 13 0 0 100 0
0 0 0 37164 15184 24740 0 0 0 0 234 8 1 1 99 0
0 0 0 37164 15192 24732 0 0 0 20 238 17 0 1 99 0
0 0 0 37164 15192 24740 0 0 0 0 240 17 0 0 100 0